#DSGVO Auch Betriebsrat in der Pflicht – Keine Datenweitergabe an ihn ohne entsprechende Schutzmaßnahmen!
I. Worum geht es?
Über die datenschutzrechtliche Stellung des Betriebsrates wird seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) viel diskutiert. Obwohl der Betriebsrat regelmäßig selbständig personenbezogene Daten der Arbeitnehmer verarbeitet, wurde er vor Inkrafttreten der DSGVO nach ganz überwiegender Meinung datenschutzrechtlich nicht als Verantwortlicher angesehen, sondern als Teil des Arbeitgebers. Dieses Verständnis wird seit Inkrafttreten der DSGVO vermehrt in Frage gestellt. Qualifiziert man den Betriebsrat als Verantwortlichen im Sinne des Datenschutzrechts, hätte dies für die Arbeitnehmervertretungen jedoch erhebliche Folgen. Sie müssten dann nicht nur – wie der Arbeitgeber – zahlreiche datenschutzrechtliche Pflichten erfüllen, sondern könnten ebenso wie ihre Mitglieder bei Datenschutzverstößen auch Adressat von Bußgeldern sein. Im Rahmen einer kürzlich veröffentlichten Entscheidung vom 9. April 2019 hat sich das Bundesarbeitsgericht (BAG) nun erstmals zur Übermittlung von Beschäftigtendaten an den Betriebsrat positioniert. Die Entscheidungsgründe verdeutlichen den enormen Einfluss der DSGVO auf das nationale Arbeitsrecht – Arbeitgeber und Betriebsrat sind hier gleichermaßen gefragt.
II. Die Entscheidung des BAG vom 9. April 2019 – 1 ABR 51/17
In dem zugrundeliegenden Fall hatte die Arbeitgeberin den Betriebsrat stets darüber informiert, ob Arbeitnehmerinnen eine Schwangerschaft angezeigt hatten. Diese Praxis änderte die Arbeitgeberin ab Mitte 2015: So räumte sie schwangeren Arbeitnehmerinnen seither die Möglichkeit ein, der Weitergabe dieser Information über die Schwangerschaft an den Betriebsrat zu widersprechen. Gegen dieses Vorgehen wandte sich der Betriebsrat, da er über die Einhaltung der geltenden Gesetze, wie etwa das Mutterschutzgesetz, zu wachen habe. Der Betriebsrat beantragte daher, dass die Arbeitgeberin ihn – ungeachtet des Widerspruchs einzelner Personen – über alle Fälle der Schwangerschaft unaufgefordert zu unterrichten habe. Sowohl das Arbeitsgericht München als auch das Landesarbeitsgericht (LAG) München gaben dem Betriebsrat Recht. Das BAG hat indes der Rechtsbeschwerde der Arbeitgeberin stattgegeben, die Sache zum LAG München zurückverwiesen und einige grundlegende Aspekte herausgearbeitet.
1. Generelle Voraussetzungen des Auskunftsbegehrens des Betriebsrates
Nach § 80 Abs. 2 S. 1 Betriebsverfassungsgesetz (BetrVG) hat der Arbeitgeber den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend zu unterrichten. Voraussetzung ist, dass eine Aufgabe des Betriebsrats gegeben und die begehrte Information zur Wahrnehmung dieser Aufgabe erforderlich ist. Dies hat der Betriebsrat darzulegen. Das BAG stellt – entgegen der Auffassung des LAG München – klar, dass der pauschale Hinweis des Betriebsrates, er benötige die Informationen „insbesondere zur Überwachung der Einhaltung von Arbeitsschutzvorschriften, wie etwa des Mutterschutzgesetzes", nicht ausreicht. Vielmehr muss der Betriebsrat die jeweilige Überwachungsaufgabe genau bezeichnen und darlegen, wieso die konkreten Daten für die Aufgabe benötigt werden. Hingegen – so das BAG weiter – hängt die Informationserteilung nicht von der Zustimmung der Mitarbeiter ab.
2. Der datenschutzrechtliche Aspekt – keine Datenweitergabe ohne Schutzmaßnahmen
Zunächst begründet die Mitteilung der Schwangerschaft einer Arbeitnehmerin an den Betriebsrat eine Datenverarbeitung, weshalb datenschutzrechtliche Vorgaben umfassend zu beachten sind. Weiterhin hebt das BAG hervor, dass es sich bei der Information über die Schwangerschaft um eine besonders sensible Angabe über eine Person handelt. Solche Angaben werden im Rahmen der DSGVO als „besondere Kategorien personenbezogener Daten" bezeichnet (Art. 9 DSGVO). Sie unterliegen einem speziellen Schutz. Insbesondere bei der Verarbeitung sensibler Daten müssen Maßnahmen zum Schutz der betroffenen Arbeitnehmer ergriffen werden. Nach Auffassung des BAG muss auch der Betriebsrat solche besonderen Schutzmaßnahmen einführen, wenn er vom Arbeitgeber die Übermittlung sensibler Daten verlangt. Dazu können etwa die Verschlüsselung der Daten, begrenzte Zugriffsmöglichkeiten sowie die Datenlöschung nach Beendigung der Überwachungsaufgabe dienen. Ein Fehlen solcher Schutzmaßnahmen oder ihre Unzulänglichkeit schließt den Anspruch des Betriebsrates auf Übermittlung der Daten vollständig aus.
III. Praktische Folgen – Keine Datenweitergabe ohne Schutzkonzept auf Seiten des Betriebsrates
Jedenfalls im Bereich der sensiblen Daten – dazu zählen neben der Schwangerschaft etwa auch Daten über die ethnische Herkunft, die Religion, die Gewerkschaftszugehörigkeit sowie biometrische Daten – ist die Einhaltung datenschutzrechtlicher Vorgaben nach alledem Voraussetzung für eine Datenweitergabe an den Betriebsrat. Indes wird sich der Arbeitgeber nicht zurücklehnen können. Denn zum einen ist er – soweit der Betriebsrat nicht als eigenständiger Verantwortlicher angesehen wird – für die dortige Datenverarbeitung verantwortlich. Zum anderen wird er dem Betriebsrat in den Grenzen des § 40 BetrVG die benötigte Informations- und Kommunikationstechnik zur Verfügung stellen müssen, damit dieser die Sicherung der Daten gewährleisten kann. Es spricht jedoch vieles dafür, dass diese Pflicht nicht ausschließlich bei der Weitergabe sensibler Daten, sondern bei jeder Datenweitergabe an den Betriebsrat gilt. Denn nach dem allgemein geltenden Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 f) DSGVO) muss der Verantwortliche (also der Arbeitgeber) die Sicherheit der personenbezogenen Daten stets gewährleisten und sie vor unbefugtem Zugriff schützen. Ist dem Arbeitgeber erkennbar, dass Daten durch den Betriebsrat entgegen der gesetzlichen Vorgaben verarbeitet werden, ist somit auch er in der Pflicht.
IV. Zusammenfassung und Handlungsempfehlungen
Die Entscheidung des BAG belegt, dass der Schutz personenbezogener Beschäftigtendaten nur durch eine umfassende Zusammenarbeit zwischen Betriebsrat und Arbeitgeber gewährleistet werden kann. Nachlässigkeiten können für alle Beteiligten erhebliche Konsequenzen haben. Ausgehend hiervon sollte in der Praxis Folgendes beachtet werden:
- Der Arbeitgeber kann und sollte die Weitergabe insbesondere von sensiblen Daten an den Betriebsrat grundsätzlich verweigern, wenn dieser keine Schutzmaßnahmen zur Sicherung der Daten vorweist.
- Auch in Bezug auf alle weiteren, an den Betriebsrat übermittelten Daten, sind datenschutzrechtliche Vorgaben umfassend zu beachten und entsprechende Schutzkonzepte vorzusehen.
- Zur Einhaltung der datenschutzrechtlichen Vorgaben empfehlen sich insbesondere konkrete Absprachen, etwa in Form von Betriebsvereinbarungen, in denen Grundsätze der Datenübermittlung einschließlich etwaiger Verschlüsselungs-, Speicher- und Löschkonzepte festgehalten werden.
Bei der Bewältigung dieser verantwortungsvollen Aufgaben unterstützen wir Sie gerne!